Die umfassenden Sicherheitsfunktionen von ExaGrid:

Eine genauere Betrachtung:

• Sicherheitscheckliste für die schnelle und einfache Umsetzung von Best Practices.
• Ransomware-Wiederherstellung: ExaGrid bietet den einzigen zweistufigen Backup-Speicheransatz mit einer nicht dem Netzwerk zugewandten Stufe (Tiered Air Gap), verzögerten Löschvorgängen und unveränderlichen Objekten zur Wiederherstellung nach Ransomware-Angriffen.
• Verschlüsselung: ExaGrid bietet FIPS 140-2-validierte hardwarebasierte Festplattenverschlüsselung auf allen SEC-Modellen. Selbstverschlüsselnde Festplatten mit RAID-Controller-basierter Schlüsselverwaltung und Zugriffskontrolle sichern Ihre Daten während des Speichervorgangs.
• Daten im WAN sichern: Die Replikation deduplizierter Sicherungsdaten kann bei der Übertragung zwischen ExaGrid-Standorten mit 256-Bit-AES verschlüsselt werden, einer FIPS PUB 140-2-zugelassenen Sicherheitsfunktion. Dadurch entfällt die Notwendigkeit eines VPN zur Durchführung der Verschlüsselung im gesamten WAN.
• Rollenbasierte Zugriffssteuerung Die Verwendung lokaler oder Active Directory-Anmeldeinformationen sowie die Rollen „Administrator“ und „Sicherheitsbeauftragter“ sind vollständig unterteilt:
  • Backup-Operator Für die Rolle im Tagesgeschäft gelten Einschränkungen, z. B. dass keine Freigaben gelöscht werden können
  • Security Officer Die Rolle schützt die Verwaltung sensibler Daten und ist für die Genehmigung aller Änderungen an der Retention Time-Lock-Richtlinie sowie für die Genehmigung der Anzeige oder Änderung des Root-Zugriffs erforderlich
  • Admin-Rolle ist wie ein Linux-Superuser – darf alle administrativen Vorgänge ausführen (begrenzte Benutzer erhalten diese Rolle). Administratoren können ohne die Genehmigung des Sicherheitsbeauftragten keine Verwaltungsaktionen für sensible Daten durchführen (z. B. das Löschen von Daten/Freigaben).
  • Das Hinzufügen dieser Rollen zu Benutzern kann nur von einem Benutzer durchgeführt werden, der bereits über die Rolle verfügt. Daher kann ein betrügerischer Administrator die Genehmigung sensibler Datenverwaltungsmaßnahmen durch den Sicherheitsbeauftragten nicht umgehen
  • Wichtige Vorgänge erfordern die Genehmigung des Sicherheitsbeauftragten, um sich vor internen Bedrohungen wie dem Löschen von Freigaben und der De-Replikation zu schützen (wenn ein betrügerischer Administrator die Replikation auf einen Remote-Standort deaktiviert).
• Zwei-Faktor-Authentifizierung (2FA) kann für jeden Benutzer (lokal oder Active Directory) erforderlich sein, der eine beliebige branchenübliche OAUTH-TOTP-Anwendung verwendet. 2FA ist standardmäßig sowohl für die Rolle „Administrator“ als auch für den Sicherheitsbeauftragten aktiviert. Bei jeder Anmeldung ohne 2FA werden eine Warnmeldung und ein Alarm für mehr Sicherheit angezeigt.
• TLS-Zertifikate/gesichertes HTTPS: Die ExaGrid-Software wird über eine Webschnittstelle verwaltet und akzeptiert standardmäßig Verbindungen von einem Webbrowser auf den Ports 80 (HTTP) und 443 (HTTPS). Die ExaGrid-Software unterstützt die Deaktivierung von HTTP für Umgebungen, die nur HTTPS (sicher) erfordern. Bei Verwendung von HTTPS kann das Zertifikat von ExaGrid zu Webbrowsern hinzugefügt werden, oder die Zertifikate eines Benutzers können über die Webschnittstelle auf ExaGrid-Servern installiert oder von einem SCEP-Server bereitgestellt werden.
• Sichere Protokolle/IP-Whitelists:
  • Common Internet File System (CIFS) – SMBv2, SMBv3
  • Network File System (NFS) – Versionen 3 und 4
  • Veeam Data Mover – SSH für Befehl und Kontrolle und Veeam-spezifisches Protokoll für die Datenbewegung über TCP
  • Veritas OpenStorage Technology-Protokoll (OST) – ExaGrid-spezifisches Protokoll über TCP
  • Oracle RMAN-Kanäle mit CIFS oder NFS

Für CIFS und Veeam Data Mover ermöglicht die AD-Integration die Verwendung von Domänenanmeldeinformationen für die Freigabe- und Verwaltungs-GUI-Zugriffskontrolle (Authentifizierung und Autorisierung). Für CIFS wird eine zusätzliche Zugriffskontrolle über eine IP-Whitelist bereitgestellt. Bei NFS- und OST-Protokollen wird die Zugriffskontrolle auf Sicherungsdaten durch eine IP-Whitelist gesteuert. Für jede Freigabe wird mindestens ein IP-Adressen-/Maskenpaar bereitgestellt, wobei entweder mehrere Paare oder eine Subnetzmaske verwendet werden, um den Zugriff zu erweitern. Es wird empfohlen, nur die Backup-Server, die regelmäßig auf eine Freigabe zugreifen, in die IP-Whitelist einer Freigabe aufzunehmen.

Für Veeam-Freigaben, die den Veeam Data Mover verwenden, erfolgt die Zugriffskontrolle durch Benutzername und Passwort, die sowohl in der Veeam- als auch in der ExaGrid-Konfiguration eingegeben werden. Dies können AD-Anmeldeinformationen oder lokale Benutzer sein, die auf der ExaGrid-Site konfiguriert sind. Der Veeam Data Mover wird automatisch vom Veeam-Server auf dem ExaGrid-Server über SSH installiert. Der Veeam Data Mover wird in einer isolierten Umgebung auf dem ExaGrid-Server ausgeführt, der den Systemzugriff einschränkt, über keine Root-Rechte verfügt und nur ausgeführt wird, wenn er durch Veeam-Vorgänge aktiviert wird.

• SSH-Schlüsselunterstützung: Obwohl für Benutzerfunktionen kein Zugriff über SSH erforderlich ist, können einige Supportvorgänge nur über SSH bereitgestellt werden. ExaGrid sichert SSH, indem es die Deaktivierung ermöglicht und den Zugriff über zufällig generierte Passwörter, vom Kunden bereitgestellte Passwörter oder nur über SSH-Schlüsselpaare ermöglicht.
• Umfassende Überwachung: ExaGrid-Server liefern Daten an den ExaGrid-Support (Phone Home) und nutzen dabei sowohl Gesundheitsberichte als auch Warnungen. Die Gesundheitsberichte umfassen Statistikdaten für die tägliche Trendanalyse und automatisierte Analysen. Die Daten werden auf sicheren ExaGrid-Servern mit Trenddatenbanken gespeichert, die zur Bestimmung des Gesamtzustands im Laufe der Zeit verwendet werden. Gesundheitsberichte werden standardmäßig über FTP an ExaGrid gesendet, können jedoch mit etwas geringerer Analysetiefe auch per E-Mail gesendet werden. Bei Warnungen handelt es sich um vorübergehende Benachrichtigungen, die auf umsetzbare Ereignisse hinweisen können, darunter Hardwarefehler, Kommunikationsprobleme, mögliche Fehlkonfigurationen usw. Der ExaGrid-Support erhält diese Warnungen umgehend per E-Mail von den ExaGrid-Supportservern.